Aujourd’hui, nous vous proposons de découvrir 3 méthodes de connexions pour accéder à votre NAS Synology depuis l’extérieur. En effet, posséder un NAS à la maison, c’est bien… mais pouvoir accéder aux données et aux applications de n’importe où, c’est encore mieux. Nous allons vous proposer 3 méthodes : de la plus simple à la plus compliquée… en expliquant les avantages et inconvénients de chacune. En bonus, à la fin de l’article, nous vous fournirons plusieurs conseils de sécurité lorsque le NAS est accessible depuis l’extérieur.
3 méthodes d’accès à son NAS depuis Internet
Nous avons décidé de vous présenter 3 méthodes différentes avec pour objectif qu’une d’entre elle vous aide. Il est possible de commencer par l’une puis d’aller vers une autre sans aucun souci. Dans notre guide, nous partons du principe que le NAS est fonctionnel et qu’il a accès à Internet (ex. : il peut télécharger une application depuis le Centre de Paquets).
QuickConnect, le plus simple
Sur les NAS Synology, la méthode la plus simple : c’est l’utilisation de QuickConnect. Chez vous, connectez-vous à votre NAS et allez dans Panneau de configuration > Accès externe, vous devriez arriver sur cet écran.
Cochez la case Activez QuickConnect et saisissez un QuickConnect ID (un nom à votre NAS pour la connexion à distance). Appuyez sur le bouton Appliquer. Si c’est la première fois que vous utilisez ce service (et si vous n’avez pas enregistré votre NAS), un identifiant et un mot de passe seront nécessaires (création d’un compte gratuit obligatoire). C’est terminé.
Votre NAS est disponible depuis n’importe où. Il suffira de connaître son nom pour y accéder avec votre identifiant et mot de passe. Dans notre exemple, cachemNAS sera accessible à l’adresse QuickConnect.to/cachemNAS mais aussi cachemnas.quickconnect.to.
Notre avis
Il s’agit de la méthode la plus simple et rapide.Cependant, elle est critiquée par de nombreux experts. Elle leur paraît trop simple, ce qui peut entraîner un risque d’activation par mégarde (ou un oubli). De plus, elle nécessite un intermédiaire : Synology. Le fabricant de NAS joue un rôle crucial puisqu’il fait la liaison entre le NAS physique et l’accès à distance. Certains reprochent que les utilisateurs ne maîtrisent pas quelles données sont partagées avec Synology : adresse IP, informations de connexion, données… À la rédaction, nous partons du principe que Synology est un tiers de confiance et qu’il ne conserve que les données strictement nécessaires (cf. : déclaration de confidentialité). Aussi, certains lui reprochent des soucis de lenteur à la connexion et des débits moindres que les solutions suivantes…
DDNS, le plus performant
La deuxième méthode nécessite une démarche légèrement plus complexe. Le DDNS (DNS dynamique) facilite le transfert d’une adresse IP publique qui change régulièrement (celle de votre Box par exemple) vers un nom de domaine fixe. Vous pourrez acheter votre propre nom de domaine chez OVH ou Google par exemple pour quelques euros (.fr / .com / .eu…). Rassurez-vous, il est aussi tout à fait possible de passer par un service tiers gratuit comme ChangeIP.com, FreeDNS… ou encore Synology. Connectez-vous à votre NAS. Allez dans Panneau de configuration > Accès externe, puis allez sur l’onglet DDNS et appuyer sur le bouton Ajouter.
Pensez à consulter nos précédents tutos pour vous aider :
- Créer son nom de domaine avec OVH
- Ajouter un nom de domaine à son NAS
- Accès au NAS depuis l’extérieur
La seconde étape est d’ouvrir votre Box/routeur pour accéder au NAS depuis l’extérieur. Pour cela, il est nécessaire de se connecter à l’interface d’administration de la Box (routeur de votre opérateur) depuis votre navigateur :
- Chez Free : mafreebox.freebox.fr ou 192.168.0.254
- Chez SFR : 192.168.1.1
- Chez Orange : 192.168.1.1
- Chez Bouygues Telecom : 192.168.1.254
Recherchez le menu Configurer les redirections ou Transfert de Ports ou encore NAT/PAT… chaque opérateur utilise un nom différent. Vous devrez indiquer un port extérieur (WAN), un port interne (LAN) et une adresse IP interne (adresse du NAS). En fournissant ces informations, vous indiquez à la Box que vous ouvrez une porte d’entrée (port) vers votre réseau, permettant ainsi l’accès au NAS. Par défaut, on indiquera le même port WAN et LAN (ex. : 5001 pour l’interface d’administration Synology), mais il est tout à fait possible de le changer. Pour notre exemple, seul le port TCP est nécessaire. De plus, vous pourrez profiter d’un vrai certificat (Let’s Encrypt) à condition de laisser ouverts les ports 80 et 443… ce qui pourrait en freiner quelques-uns.
Notre avis
La méthode nécessite 2 étapes importantes : le paramétrage du NAS et de la Box. Elle est un peu plus complexe que la précédente, mais très efficace. Vous êtes complètement indépendant des services Synology. La connexion et les débits sont plus rapides . Cette approche est à privilégier si vous partagez fréquemment des données avec des personnes extérieures, que ce soit vos amis ou votre famille. Une fois le paramétrage réalisé, l’utilisateur n’a aucune maintenance à assurer. Tout est géré automatiquement. Il sera relativement facile d’ajouter ou de retirer des services depuis le Portail de connexion. Les possibilités sont pratiquement infinies.
VPN, le plus sécurisé
Posséder d’un serveur VPN à domicile présente plusieurs avantages. Il s’agit d’une porte d’entrée à votre réseau personnel (ou professionnel). Le VPN représente une barrière sécurisée qu’il est nécessaire de franchir avant d’accéder à votre réseau/domicile et donc au NAS. Le serveur VPN serveur peut être installé sur (le routeur) la Box de votre opérateur. Il peut également être installé sur un autre appareil du réseau comme un Raspberry Pi ou même sur votre NAS lui-même.
Le VPN va sécuriser l’accès en chiffrant les échanges entre votre appareil (ordinateur, smartphone, tablette…) et votre réseau domestique. En 2021, nous recommandons de préférence WireGuard et OpenVPN. Voici quelques tutos pour vous aider à sa mise en place :
- OpenVPN ou WireGuard sur un Raspberry Pi
- Installer Tailscale sur un NAS Synology
- WireGuard sur UniFi / Ubiquiti
Une fois que vous passez la barrière du VPN, vous pourrez accéder à votre NAS de façon classique avec un identifiant et un mot de passe… comme si vous étiez à votre domicile. À noter qu’il est possible d’accéder au NAS depuis l’interface d’administration Web, depuis les applications mobiles, mais aussi à travers l’Explorateur de fichiers Windows (Réseaux) ou depuis le Finder sur Mac grâce aux protocoles AFP/SMB…
Notre avis
Plus sécurisée, cette méthode est aussi plus complexe à mettre en place. Elle peut nécessiter du matériel supplémentaire (Raspberry Pi) et surtout du temps à l’installation/paramétrage. Au-delà de sa lourdeur lors de la mise en place, l’accès au NAS est restreint par l’usage du VPN… L’utilisateur devra posséder une application supplémentaire sur son périphérique (téléphone, ordinateur, tablette…) pour se connecter au VPN. Donc, le partage de documents (y compris photo, vidéo et musique) avec vos amis ou famille sera plus difficile. Il faudra leur prévoir : un accès au VPN et un accès au NAS. Cette méthode est réservée aux utilisateurs avertis, soucieux de la sécurité.
Conclusion
Il existe plusieurs méthodes pour ouvrir et accéder à son NAS Synology depuis l’extérieur. Nous espérons que l’une d’entre elles répondra à vos besoins. Sachez qu’il est également possible de mêler 2 méthodes : DDNS + VPN. Quel que soit votre choix, il faut garder à l’esprit que l’ouverture d’un NAS expose à des risques. En effet, lorsque votre NAS est inatteignable depuis l’extérieur de votre domicile, il jouit d’une sécurité relative. Dès qu’il est accessible depuis Internet, n’importe qui peut tenter de s’y connecter et/ou d’exploiter une faille de sécurité. Il sera donc important de respecter quelques règles essentielles :
- Activez le blocage automatique après plusieurs tentatives infructueuses : Panneau de configuration > Protection > Activer le blocage auto ;
- Désactivez les comptes admin et guest (désactivé par défaut) : Panneau de configuration > Utilisateur et Groupe ;
- Activez le Firewall sur le NAS : Panneau de configuration > Pare-feu ;
- Utilisez un mot de passe fort (Longueur de 8 minimum avec minuscule, majuscule, des chiffres, caractères spéciaux…) ;
- Changez le/les ports par défaut : Panneau de configuration > Portail de connexion (pour le port 5001 par exemple) ;
- Utilisez le HTTPS plutôt que le HTTP : Panneau de configuration > Portail de connexion et cochez la case Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM ;
- Mettez à jour régulièrement votre NAS (DSM et applications) ;
- Faites des sauvegardes régulières…
Sans cela, vous vous exposez à plusieurs risques : vol de vos données, suppression d’une partie/totalité de vos fichiers ou encore à une demande de rançon (CryptoLocker). Soyez prudent…